Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Hosted Collaboration Solution 10.6(1) Base

Betroffene Plattformen:

Cisco Hosted Collaboration Solution

Eine Schwachstelle ermöglicht einem entfernten, nicht authentisierten
Angreifer Cross-Site-Scripting (XSS)-Angriffe durchzuführen, mittels derer
er auch Informationen ausspähen kann. Cisco hat die Verwundbarkeit gegenüber
der Schwachstelle für Cisco Hosted Collaboration Solution Release 10.6(1)
bestätigt. Spätere Versionen könnten ebenfalls verwundbar sein. Es stehen
bislang noch keine Sicherheitsupdates zur Verfügung.

CVE-2015-4260: Schwachstelle in Cisco Hosted Collaboration Solution erlaubt
Cross-Site-Scripting

Eine Schwachstelle in der Cisco Hosted Collaboration Solution besteht
aufgrund unzureichender Überprüfung von Werten, die von Benutzern
bereitgestellt werden. Ein Angreifer kann diese Schwachstelle ausnutzen,
indem er einen Benutzer dazu bringt, auf einen spezifischen Link zu klicken.
Dadurch ist es ihm möglich, beliebige Webskripte und HTML innerhalb der
Benutzersitzung zur Ausführung zu bringen, wodurch er auf sensitive
Browser-basierte Informationen zugreifen kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1024/

Cisco Security Alert Cisco-Alert-CVE-2015-4260:
http://tools.cisco.com/security/center/viewAlert.x?alertId=39804

Schwachstelle CVE-2015-4260 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4260

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.